31/10/19
За последние несколько месяцев тысячи пользователей Android-устройств стали жертвами нового вредоносного ПО, получившего название Xhelper. Программа прячется на зараженных устройствах и способна переустанавливать себя даже после удаления или сброса настроек до заводских на устройстве.
По словам специалистов из компании Symantec, за последние полгода вредоносное ПО уже успело заразить более 45 тыс. Android-устройств и продолжает распространяться, инфицируя в среднем 2,4 тыс. устройств в месяц.
Xhelper является компонентом приложения и не предоставляет обычный пользовательский интерфейс. Он не отображается на панели запуска приложений. Вредонос запускается при помощи внешних событий, инициированных пользователем, например, подключении/отключении от источника питания, перезагрузки телефона или установки приложений. После запуска вредоносная программа регистрируется в качестве основной службы, тем самым снижая риск отключения при нехватке памяти. Заразив устройство жертвы, Xhelper расшифровывает в память вредоносную полезную нагрузку. Данный модуль подключается к C&C-серверу злоумышленника и ожидает команды. После успешного подключения к C&C-серверу на скомпрометированное устройство могут быть загружены дополнительные вредоносные модули, например, дропперы, кликеры и руткиты.
Впервые исследователи обнаружили Xhelper в марте 2019 года. На тот момент функционал вредоносного ПО был относительно простым, и его основной функцией было посещение рекламных страниц с целью монетизации. Однако за прошедшее время вирусописатели расширили функционал Xhelper, добавив возможности ухода от обнаружения. Судя по всему, вредоносное ПО все еще находится в стадии разработки, считают специалисты.
Исследователям не удалось определить каналы распространения вредоноса. Поскольку в Google Play Store вредонос обнаружить не удалось, специалисты полагают, что Xhelper может загружаться из неизвестных источников либо с помощью вредоносного системного приложения, предустановленного на некоторых смартфонах. Судя по числу заражений, злоумышленников интересуют определенные марки смартфонов (названия торговых марок не указываются). Наибольшее число инфицированных устройств наблюдалось в Индии, США и России.
